网络安全入门学习第六课——WEB安全基础2

已于 2023-07-01 23:14:54 修改
阅读量194 收藏 1
点赞数 1
分类专栏: web安全 文章标签: web安全 学习
于 2023-05-19 17:10:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p36273/article/details/130769614
版权

文章目录

一、WEB访问流程

在这里插入图片描述

二、Cookie/Session

1、Cookie

Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。比方:打开一个页面,输入账号密码,不小心操作失误,关闭了窗口,需要重新输入账号密码。要跟踪该会话,必须引入一种机制。

Cookie就是这样的一种机制。它可以弥补HTTP协议无状态的不足。在Session出现之前,基本上所有的网站都采用Cookie来跟踪会话。

Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。

2、Session

除了使用Cookie,Web应用程序中还经常使用Session来记录客户端状态。Session是服务器端使用的一种记录客户端状态的机制,使用上比Cookie简单一些,相应的也增加了服务器的存储压力。

Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

3、Cookie/Session的区别

  • 1.session 在服务器端,cookie 在客户端(浏览器)。
  • 2.session 默认被存在在服务器的一个文件里(不是内存)。
  • 3.单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie
  • 4.一般情况,登录信息等重要信息存储在session中,其他信息存储在cookie中

三、同源策略

同源策略(Same origin policy): 是由NetScape提出的一个著名的安全策略。所谓的同源,指的是协议,域名,端口相同。

浏览器处于安全方面的考虑,只允许本域名下的接口交互,不同源的客户端脚本,在没有明确授权的情况下,不能读写对方的资源。

它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。
在这里插入图片描述
在这里插入图片描述

四、浏览器沙箱Sandbox

对于浏览器来说,采用 Sandbox 技术,无疑可以让不受信任的网页代码运行在一个受限的环境中,从而保护本地文件的安全。

浏览器的多进程架构,将浏览器的各个功能分开,当一个进程崩溃时,也不会影响到其他进程。

在现今的浏览器中,虽然有许多进程架构和 SandBox 保护,但浏览器所加载的一些第三方插件却往往不受 Sandbox 管辖,比如近年来 Pwn2Own 大会上被攻克的浏览器,往往都是因为第三方插件出现的安全漏洞导致的。Flash,PDF, .NetFramework 在近年来都成为浏览器攻击的热点。

五、恶意网站拦截

恶意网站拦截工作原理很简单,一般都是浏览器周期性的从服务器获取一份最新恶意网址的黑名单,如果用户上网时访问的网址存在于黑名单中,浏览器就会弹出一个警告页面。

常见的恶意网址分为两类: 一类是挂马网站,这些网站通常包含有恶意的脚本如 Javascript 或 Flash, 通过利用浏览器的漏洞,包括一些插件,执行 shellcode,在用户电脑植入木马;另一类是钓鱼网站,通过模仿知名网站的相似页面来欺骗用户。

六、OWASP TOP10

目前有3个版本OWASP Top 10,2021是最新的版本,2013和2017 的是之前两个版本。
在这里插入图片描述

1、访问控制崩溃

也就是我们常说的越权漏洞
未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。

  • 1.通过修改 URL、内部应用程序状态或 HTML 页面绕过访问控制检查,或简单地使用自定义的 API 攻击工具。
  • 2.允许将主键更改为其他用户的记录,例如查看或编辑他人的帐户。
  • 3.特权提升。在不登录的情况下假扮用户,或以用户身份登录时充当管理员。
  • 4.以未通过身份验证的用户身份强制浏览的通过身份验证时才能看到的页面、或作为标准用户访问具有相关权限的页面、或API没有对POST、PUT和DELETE强制执行访问控制。

2、敏感数据暴露

很多Web应用程序和API都无法正确保护敏感数据,例如:财务数据、医疗数据和PII数据。攻击者可泄露容易受到破坏,因此,我们需要对敏感数据加密,这些数据包括:传输过程中的数据、存储的数据以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据以及浏览器的交互数据。

3、注入

注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的执行语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令目的的入侵行为。也就是说,我服务器明明想要你用户提交的是一个数据,可是你要么直接提交了一个命令,要么提交了一个数据之后,还在数据后面加上了一个命令。(夹带私货)

4、不安全的设计

4.1、漏洞产生原因

  • 在开发软件时,在关键身份验证、访问控制、业务逻辑和关键流部位没有进行安全的设计。
  • 由于开发过程中的设计缺陷,可能导致注入、文件上传等漏洞被利用;

4.2、业务逻辑的显性体现

  • 1、支付逻辑
  • 2、密码找回
  • 3、验证码暴力破解
  • 4、验证码重复使用
  • 5、验证码客户端回显
  • 6、验证码绕过
  • 7、验证码自动识别

4.3、支付逻辑漏洞

所有涉及购买、支付等方面的功能处就有可能存在支付漏洞
挖掘:寻找网站的支付系统、或兑换系统,抓包判断有没有敏感信息可以修改。

利用:

  • 1、修改支付价格
  • 2、修改支付状态
  • 3、修改购买数量
  • 4、修改优惠卷、积分
  • 5、修改支付接口
  • 6、多重替换支付
  • 7、重复支付
  • 8、最小额支付
  • 9、最大额支付问题
  • 10、无限制试用

5、安全配置不当

安全配置错误是最常见的安全问题,这通常是由于不安全的默认配置、不完整的临时配置、开源云 存储、错误的 HTTP 标头配置以及包含敏感信息的详细错误信息所造成的。

因此,我们不仅需要对所 有的操作系统、框架、库和应用程序进行安全配置,而且必须及时修补和升级它们。

可能出现的风险点

  • 1、应用程序启用或者安装了不必要的安全功能
  • 2、默认账户名和密码没有修改
  • 3、应用软件已过期或出了新版本未更新
  • 4、应用程序服务器,应用程序框架等未进行安全配置。
  • 5、错误处理机制披露大量敏感信息
  • 6、对于更新的系统,禁用或不安全地配置安全功能。

6、使用含有已知漏洞组件

组件(例如:库、框架和其他软件模块)拥有和应用程序相同的权限。

如果应用程序中含有已知漏洞的组件被攻击者利用,可能会造成严重的数据丢失或服务器接管。同时,使用含有已知漏洞的组件的应用程序和API可能会破坏应用程序防御、造成各种攻击并产生严重影响。

7、认证崩溃

通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌, 或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。

在开发web应用程序时,开发人员往往只关注Web应用程序所需的功能,所以常常会建立自定义的认证和会话方案。但是要正确的实现这些方案却是很难的。结果就在退出、密码管理、超时、密码找回、帐户更新等方面存在漏洞。
也就密码等重要数据进行交互的时候,程序存在了问题,并且被利用了。

可能出现的风险点

  • 1、允许暴力破解密码或者账号。
  • 2、允许默认的、弱的或众所周知的密码,例如“admin/123456”或 “admin/admin”。
  • 3、使用明文、加密或弱散例密码。
  • 4、缺少或失效的多因素身份验证。
  • 5、暴露URL中的会话ID(例如URL重写)。
  • 6、旧密码泄露
  • 7、会话ID使用时间过长

8、软件和数据完整性失败

软件和数据完整性故障与不能防止完整性违规的代码和基础设施有关。 一个例子是应用程序依赖来自不受信任的来源、存储库和内容交付网络 (CDN) 的插件、库或模块。 不安全的 CI/CD 管道可能会导致未经授权的访问、恶意代码或系统受损。 最后,许多应用程序现在包括自动更新功能,其中更新在没有充分完整性验证的情况下被下载并应用于以前受信任的应用程序。 攻击者可能会上传自己的更新以分发并在所有安装上运行。 另一个例子是对象或数据被编码或序例化为攻击者可以看到和修改的结构,容易受到不安全的反序例化。

9、不足的日志记录和监控

不足的日志记录和监控,以及事件响应缺失或无效的集成,使攻击者能够进一步攻击系统、保持持 续性或转向更多系统,以及篡改、提取或销毁数据。

大多数缺陷研究显示,缺陷被检测出的时间超 过200天,且通常通过外部检测方检测,而不是通过内部流程或监控检测。
也就是自己的内部检查能力不足 ,没有办法在别人正在攻击你的时候发现自己被攻击了。

10、服务端请求伪造

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。

一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。

利用一个可以发起网络请求的服务,当做跳板来攻击其它服务,简单来说就是:A让B帮忙访问C。

SSRF的成因

SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。ssrf是利用存在缺陷的web应用作为代理去攻击远程和本地的服务器。

也就是说,对于为服务器提供服务的其他应用没有对访问进行限制,如果我构造好我的访问包,那我就有可能利用目标服务对他的其他服务器应用进行调用。

SSRF常见危害

  • 1.可以对服务器所在内网、本地进行端口扫描,获取一些服务的信息等
  • 2.目标网站本地敏感数据的读取
  • 3.内外网主机应用程序漏洞的利用
  • 4.内外网Web站点漏洞的利用
p36273
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
01-09
安全领域通常分为网络安全Web渗透)和系统安全(PWN逆向)两个方向。Web安全想要入门容易,想成为大佬难,通常分为三个阶段,第一个阶段是脚本小子,通过弱口令等操作拿权;第二个阶段是代码审计或自己写代码进行...
网络安全入门学习第九课——计算机网络基础
p36273的博客
05-22 8608
在传输数据之前,TCP通过三次握手建立的实际上是两个方向的连接,因此在传输完毕后,两个方向的连接必须都关闭。,把一个子网划分为两个子网,分别是子网掩码:255.255.255.128 和 255.255.255.0,每一个子网的主机数量是2的7次方-2 = 128 – 2 = 126个。告知主机该报文段是来自哪里(源端口)以及传给哪个上层协议或应用程序(目的端口)的。一次TCP通信(从TCP连接建立到断开)过程中某一个传输方向上的字节流的每个字节的编号。TCP是一种可靠的,面向连接的全双工传输层协议。
网络安全入门学习第九课——计算机网络基础_公网地址和私网地址范围
2401_84254343的博客
05-02 878
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。数据链路层功能是:向该层用户提供透明的和可靠的数据传送服务。
网络安全入门学习第十课——DNS欺骗
p36273的博客
05-29 3270
检查是否开启成功扫描局域网存活的IP 配置攻击目标 先进行arp欺骗 然后开始dns欺骗 受害者尝试ping以下任意域名 使用浏览器登录查看,会直接重定向到apache服务的主页 假如需要修改apache的主页,路径如下: 这样就完成一次简单的DNS欺骗
网络安全入门学习第九课——计算机网络基础_公网地址和私网地址范围(2)
m0_62673499的博客
04-16 546
Python编程学习学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
网络安全入门学习第十五课——PHP基础
p36273的博客
06-10 1767
含义:Web的本意是蜘蛛网,在计算机领域中称为网页构成:它是一个由很多互相链接的超文本文件组成的系统资源:系统中每个有用的文件都称为“资源”,并由“通用资源标识符”(URI)进行定位,这些资源通过超文本传输协议(Hypertext Transfer Protocol,HTTP)传送给用户,用户单击链接即可获得资源。
Python编程入门经典
10-27
第6章 类与对象 85 6.1 考虑编程 85 6.1.1 对象的含义 85 6.1.2 已经了解的对象 85 6.1.3 展望:如何使用对象 87 6.2 定义类 87 6.2.1 如何创建对象 87 6.2.2 对象和它们的作用域 95 6.3 本章小结 98 6.4 习题 99 第...
c#学习笔记.txt
12-15
51099在线学习网发布 文章来源:网络收集 发布时间:2006-05-25 字体: [大 中 小] 51099在线学习网 http://www.51099.com 1, 结构(struct) 与 类(class) [attributes] [modifiers] struct identifier [:...
asp.net知识库
06-18
技术基础 New Folder 多样式星期名字转换 [Design, C#] .NET关于string转换的一个小Bug Regular Expressions 完整的在.net后台执行javascript脚本集合 ASP.NET 中的正则表达式 常用的匹配正则表达式和实例 经典正则...
web安全之登录框渗透骚姿势,新思路
qq_47289634的博客
05-10 647
越权漏洞的挖掘大部分是通过对比两个用户的请求包以及响应包,来观察不同之处,有的时候替换一下响应包就直接越权,其中特别要关注的是uid,这里在挖掘逻辑漏洞和越权漏洞时建议使用burp中的compare模块进行两个数据包的比对,非常直观。width=500&height=100导致可以随意更改大小,配合脚本批量请求,很容易就会把带宽占满,造成dos攻击。不管漏洞挖掘还是挖SRC,登录框都是重点关注对象,什么漏洞都有可能出现,登录框也是框,见框就插就对了,说不定会有奇效。看到登录框,输入信息后,抓包。
了解网络安全行业内有哪些公司?
aheyor的博客
05-14 962
https://wenku.baidu.com/view/8de38c790440be1e650e52ea551810a6f424c80f?aggId=f2f58cc8e618964bcf84b9d528ea81c758f52ecc&fr=catalogMain_text_ernie_recall_feed_index%3Awk_recommend_main4&_wkts_=1715651666515&bdQuery=%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85
Web安全:企业如何抵御常见的网络攻击?
m0_66326520的博客
05-16 711
针对网站的攻击有多种形式,攻击者既可以是业余黑客,也会是协同作战的职业黑客团伙。最关键的一条建议,就是在创建或运营网站时不要跳过安全功能,因为跳过安全设置可能会造成严重后果。虽然不可能完全消除网站攻击风险,但你至少可以缓解遭攻击的可能性和攻击后果的严重性。遭受攻击后,不仅需要及时的响应处置还需要避免同类事件的发生,因此事后的复盘分析尤为重要,做好安全防护才是最高效的网络攻击解决方案。
网络安全】Linux 应急响应-溯源-系统日志排查知识点
weixin_43822401的博客
05-17 340
编辑或;
网络安全】系统日志清理的操作步骤
weixin_43822401的博客
05-16 199
如果访问了某些服务,比如说通过 apache 服务获得一个 shell,你还需要清理 apache 服务的访问日。删除登录成功记录:echo > /var/log/wtmp (此时执行 last 命令就会发现没有记录)仅本地清理,如果目标服务存在日志服务器的话,所有日志还会被保留。这里仅清理系统相关日志,3. 删除日志记录:echo > /var/log/secure。删除登录失败记录:echo > /var/log/btmp。删除系统日志目录下的一些日志文件。1. 访问失败的日志。2. 访问成功的日志。
什么是蜜罐,在当前网络安全形势下,蜜罐能提供哪些帮助
dexunyun的博客
05-16 793
要建立一个成功的蜜罐系统,需要经过详细的规划和设计,并且与专业的安全团队合作,德迅云安全会根据用户的需求和威胁情报,选择合适的蜜罐类型和部署位置。而蜜罐就是其中重要的举措,旨在提供额外的安全层。蜜罐可以记录攻击者的工具、技术和过程信息,通过分析攻击者的行为、技术和策略,可以获取关于新的攻击向量、漏洞和威胁情报的重要信息。低交互蜜罐:低交互蜜罐只模拟了系统的一部分功能,通常只包括网络服务和部分应用程序,为攻击者提供简单的交互,配置简单,容易部署,但受限于交互能力,可能无法捕获高价值的攻击。
2024年网络安全威胁
dexun123的博客
05-15 824
随着2024年的到来,数字世界的版图正在以前所未有的速度扩张,引领我们进入一个技术革新的新时代。然而,这飞速的发展同时也催生了一系列错综复杂的网络安全挑战。在这个数字平台与我们生活日益紧密交织的时代,深入了解这些新兴的威胁,并预先做好相应的准备,不仅是审慎之举,更是明智之策。这一任务已然刻不容缓。今年,网络安全领域正处在一个至关重要的转折点。我们所面对的威胁不仅在技术上日益尖端,而且在手法上也愈发狡猾和隐蔽。勒索软件对组织构成的威胁是极其严重的,其潜在影响可能是毁灭性的。
网络安全】【Frida实战案例】某图xx付费功能逆向分析(一)
IT痴者
05-13 355
本次主要是日志分析,查看日志对应执行流程。查看关键信息。
简析网络风险量化的价值与应用实践,如何构建网络风险预防架构
最新发布
Dexun_chuqi的博客
05-20 871
量化是指对事物数量的统计表达或测量。当其应用于网络安全风险分析时,就意味着从业务发展的角度去度量组织的网络风险暴露情况和该风险的潜在危害影响。换句话说,它是用一种数学术语来定量化描述网络风险态势。网络风险量化(CRQ)需要应用先进的建模技术来全面评估企业中的隐藏风险和暴露风险可能性,以及如何应对可能的危害。然后,这些信息被用来计算财务风险,以得出估计的损失。如果组织不解决安全项目中的一些特殊缺口,可能造成的经济损失会有多大?什么样的网络安全事件会导致最严重的业务影响?
网络安全新手入门学习资料
05-14
以下是网络安全新手入门学习资料的建议: 1. 网络安全基础知识:《网络安全概论》(第二版)(www.ituring.com.cn/book/1749) 2. 网络安全攻防技术:《白帽子讲Web安全》(www.ituring.com.cn/book/946) 3. 网络安全工具使用:Kali Linux(www.kali.org) 4. 网络安全漏洞挖掘:《Web安全深度剖析》(www.ituring.com.cn/book/1206) 5. 网络安全实战:CTF(Capture The Flag)比赛(https://ctftime.org/) 6. 网络安全新闻:安全客(www.anquanke.com) 7. 网络安全博客:FreeBuf(www.freebuf.com) 8. 网络安全课程:MOOC(www.icourse163.org)和Coursera(www.coursera.org) 以上资源是网络安全入门的良好起点。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值